Gemäß Art. 38 Abs. 6 DS-GVO ist es gestattet, dass der Datenschutzbeauftragte grundsätzlich weitere Aufgaben und Pflichten wahrnehmen kann. Eine Grenze dieser Möglichkeit ist jedoch spätestens dann erreicht, wenn solche Aufgaben und Pflichten zu einem Interessenskonflikt des Datenschutzbeauftragten führen. Aus einem Beschluss der italienischen Datenschutz-Aufsichtsbehörde Garante per la Protezione dei Dati Personali aus April 2025 geht nun hervor, dass ein solcher Interessenskonflikt des Datenschutzbeauftragten beispielsweise dann besteht, wenn dieser datenschutzrechtliche Dokumente nicht nur prüft, sondern auch selbst erstellt.

Aufgaben des Datenschutzbeauftragten und des Verantwortlichen

Unter Berücksichtigung des Art. 39 Abs. 1 DS-GVO obliegen dem Datenschutzbeauftragten insbesondere die Unterrichtung und Beratung hinsichtlich datenschutzrechtlicher Pflichten, die Überwachung der Einhaltung datenschutzrechtlicher Anforderungen sowie die Tätigkeit als Kommunikationsschnittstelle mit der jeweiligen Datenschutz-Aufsichtsbehörde. Dem Datenschutzbeauftragten kommt demnach ausschließlich eine unterstützende Aufgabe zu.

Die operative Umsetzung des Datenschutzes ist entsprechend Aufgabe des jeweiligen Verantwortlichen. Dies wird beispielsweise aus den einschlägigen Normen zur Umsetzung eines Datenschutzmanagements (Art. 24 Abs. 1 DS-GVO: „Der Verantwortliche setzt […] um […].“), zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 Abs. 1 DS-GVO: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen […].“) oder zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 DS-GVO: „[…] so führt der Verantwortliche […].“)deutlich. In Bezug auf die Datenschutz-Folgenabschätzung tritt die Aufgabentrennung auch noch einmal durch Art. 35 Abs. 2 DS-GVO hervor. Demnach holt der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein, sofern ein solcher benannt wurde.

Durch die dargestellte Verteilung der Aufgaben soll eine wirksame Eigenkontrolle ermöglicht werden, sodass Organisationen in die Lage versetzt werden, effektive Maßnahmen zur Gewährleistung des Datenschutzes zu etablieren und deren Wirksamkeit selbstständig zu prüfen.

Interessenskonflikt bei fehlender Trennung

Dass eine unzureichende Trennung beider Aufgabenfelder zu einem Interessenskonflikt des Datenschutzbeauftragten führen kann, zeigt ein Fall aus Italien. Dort bemängelte die hiesige Datenschutz-Aufsichtsbehörde die Tätigkeit des Datenschutzbeauftragten, als dieser im Rahmen der Einführung eines KI-basierten Systems als Autor einer Datenschutz-Folgenabschätzung auftrat. Die Aufsichtsbehörde sah hierin einen Interessenskonflikt gegeben, da:

• der Datenschutzbeauftragte bei der Durchführung einer Datenschutz-Folgenabschätzung eine unabhängige Beratungsfunktion innehat, Art. 35 Abs. 2 DS-GVO, Art. 39 Abs. 1 lit. c) DS-GVO;

• eine ausreichende Unabhängigkeit des Datenschutzbeauftragten nicht mehr gegeben ist, wenn dieser selbst als Verfasser der Datenschutz-Folgenabschätzung tätig wird;

• die erforderliche Trennung zwischen der Beratungsfunktion des Datenschutzbeauftragten und der Umsetzungsverantwortung des Verantwortlichen nicht gegeben ist.

Der Datenschutzbeauftragte stand somit faktisch auf zwei Seiten zugleich: Er entschied als Autor der Datenschutz-Folgenabschätzung über Risiko und erforderliche Maßnahmen und hätte gleichzeitig die Angemessenheit dieser Entscheidungen überwachen sollen – ein unauflösbarer Widerspruch. Die Folge: Die italienische Aufsichtsbehörde erkannte hierin einen Verstoß gegen Art. 38 Abs. 6 DS-GVO und verhängte ein entsprechendes Bußgeld. Auch wenn dieses Bußgeld mit 9.000 Euro relativ gering ausfiel, kommt der grundsätzlichen Aussage der Entscheidung eine wesentliche Bedeutung zu.

Fazit

Interessenkonflikte lassen sich vermeiden, wenn Organisationen klare Zuständigkeiten festlegen und die Aufgaben des Datenschutzbeauftragten strikt von operativen Tätigkeiten trennen. Der Datenschutzbeauftragte sollte keine Entscheidungsbefugnisse über Datenverarbeitungen haben, die er später selbst prüfen muss. Dokumentationspflichten wie Verzeichnisse der Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen sind von den jeweiligen Fachbereichen zu erstellen; der Datenschutzbeauftragte darf nur beratend und prüfend unterstützen.

Bei kleinen Organisationen kann die Bestellung eines externen Datenschutzbeauftragten helfen, Interessenkonflikte zu vermeiden – entscheidend ist die tatsächliche Unabhängigkeit. Regelmäßige Überprüfungen der Aufgabenverteilung, insbesondere nach organisatorischen Änderungen, sind empfehlenswert. Insgesamt gilt: Der Datenschutzbeauftragte soll beraten und kontrollieren, nicht selbst handeln. Nur eine klare Trennung von Verantwortung und Kontrolle sichert Unabhängigkeit, vermeidet Bußgelder und stärkt das Vertrauen in die Datenschutzorganisation.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Aus einem aktuellen Sondierungspapier vom 8. März 2025 von CDU, CSU und SPD ist unter der Überschrift Bürokratie rückbauen zu entnehmen, dass die Parteien planen, künftig „die Zahl der gesetzlich vorgeschriebenen Betriebsbeauftragten signifikant reduzieren“ zu wollen. Auch wenn hierbei die betreffenden Beauftragten (noch) nicht näher bezeichnet werden, ist ziemlich sicher davon auszugehen, dass hiervon auch die Regelungen in Bezug auf den (betrieblichen) Datenschutzbeauftragten betroffen sein werden. Schließlich wird bereits seit längerem darüber diskutiert, die bisherige Benennungsgrenze anzuheben oder die – ergänzend zur DS-GVO bestehende – nationale Regelung gänzlich abzuschaffen. Der nachfolgende Blog-Beitrag gibt einen Überblick über die derzeitige Rechtslage und potenzielle künftige Änderungen.

Derzeitige Rechtslage

Grundsätzlich wird in Art. 37 Abs. 1 DS-GVO geregelt, in welchen konkreten Fällen die Benennung eines Datenschutzbeauftragten verpflichtend ist. Hierzu zählen ausschließlich (a) Datenverarbeitungen durch Behörden oder öffentliche Stellen, mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeiten, (b) Kerntätigkeiten in der Durchführung von Datenverarbeitungen, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z. B. Auskunfteien, Anbieter von Fitness-Apps, Detekteien) sowie (c) Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO, z. B. Altersheime, Arztpraxen, Krankenhäuser) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO, z. B. Anwaltskanzleien mit Bezug zum Strafrecht).

Ergänzend zu diesen Regelungen im Rahmen der DS-GVO wird in der nationalen Vorschrift des § 38 Abs. 1 BDSG geregelt, unter welchen weiteren Voraussetzungen die Benennung eines (betrieblichen) Datenschutzbeauftragten verpflichtend ist. In Satz 1 heißt es: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 [DS-GVO, Anm. d. Autors] benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Eine solche automatisierte Verarbeitung personenbezogener Daten liegt in der Regel bereits dann schon vor, wenn die betreffenden Beschäftigten im Rahmen ihrer Tätigkeiten über einen E-Mail-Zugang verfügen.

Unabhängig von der konkreten Zahl der Beschäftigten heißt es in Satz 2 weiter: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ Wann eine solche Datenschutz-Folgenabschätzung regelmäßig durchzuführen ist, ergibt sich beispielsweise durch eine Auflistung der Datenschutzkonferenz.

Hauptsächlich die Regelung des § 38 Abs. 1 Satz 1 BDSG sorgt dafür, dass eine Vielzahl von Unternehmen und Vereinen in Deutschland zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet sind.

Mögliche Umsetzungsvarianten

Eine Anpassung der Rechtslage zur verpflichtenden Benennung von Datenschutzbeauftragten ist durch die neue Bundesregierung auch ausschließlich in Bezug auf die nationale Regelung des § 38 BDSG – also insbesondere in Bezug auf die Beschäftigtenzahl – möglich. Diesbezüglich ergeben sich grundsätzlich zwei mögliche Varianten:

• Anhebung des Schwellwertes: In der Vergangenheit wurde bereits des Öfteren über eine Anhebung des derzeitigen Schwellwertes diskutiert. Nachdem bereits im Jahr 2019 die ursprüngliche Grenze von zehn Beschäftigten auf 20 Beschäftigten angehoben wurde, wären 50, 100 oder 250 Beschäftigte eine nächste mögliche Stufe. Auch bereits eine solche Anhebung würde dazu führen, dass die Zahl der zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichteten Stellen signifikant sinken würde.

• Streichung der Regelung: Weiterhin wäre auch eine komplette Streichung der Regelung des § 38 BDSG möglich. In diesem Falle würden zukünftig ausschließlich die Regelungen des oben dargestellten Art. 37 Abs. 1 DS-GVO greifen. Infolgedessen wären zukünftig wohl die wenigsten Organisationen zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet.

Derzeit ist noch unklar, welche konkreten Änderungen uns bevorstehen und ob sich eher die Forderungen der SPD (in der Vergangenheit: Anhebung des Schwellwertes) oder der CDU/CSU (in der Vergangenheit: Streichung des § 38 BDSG) durchsetzen werden. Die freiwillige Benennung eines betrieblichen Datenschutzbeauftragten wird aller Voraussicht nach jedoch auch in Zukunft möglich sein.

Weniger Datenschutzbeauftragte ≠ weniger Bürokratie

In diesem Zusammenhang wird jedoch regelmäßig verkannt, dass die Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.

Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die nationale Regelung des § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) sieht neben den Regelungen des Art. 37 Abs. 1 DS-GVO vor, dass nicht-öffentliche Stellen einen Datenschutzbeauftragten zu benennen haben, sofern regelmäßig mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein aktuelles Positionspapier der Bundesregierung benennt nun im Zusammenhang mit der Reduktion datenschutzrechtlicher Anforderungen unter anderem die Heraufsetzung dieses Schwellwertes von 20 Beschäftigte auf 50 Beschäftigte. Ein kurzer Überblick.

Anwendung datenschutzrechtlicher Anforderungen reduzieren

„Zur Dynamisierung der deutschen Wirtschaft soll auch der bürokratische Aufwand bei der Anwendung datenschutzrechtlicher Anforderungen reduziert werden und die Anwendung auf europäischer Ebene vereinheitlicht werden“, heißt es unter Ziffer 13 in einem erst jüngst veröffentlichten Papier der Bundesregierung mit dem Titel „Wachstumsinitiative – neue wirtschaftliche Dynamik für Deutschland“.

Als konkrete Maßnahmen werden insgesamt sieben Punkte angeführt, darunter die Konzentration der Zuständigkeit einzelner Aufsichtsbehörden für bestimmte Branchen und Sektoren, eine stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz, die Präzisierung und Konkretisierung im nationalen Recht zur Erhöhung der Rechtssicherheit und zur Erleichterung der Anwendung sowie eben benannte Erhöhung des Schwellenwerts zur verpflichtenden Benennung eines Datenschutzbeauftragten.

Unklar ist zunächst, in welchem zeitlichen Rahmen mit der Umsetzung der angeführten Maßnahmen gerechnet werden kann. Es ist jedoch nicht unwahrscheinlich, dass die beabsichtigten Änderungen früher oder später tatsächlich umgesetzt werden. Schließlich sind einige der angeführten Punkte nicht neu: Bereits mit der sich im Gesetzgebungsprozess befindlichen Änderung des Bundesdatenschutzgesetzes verfolgt der Gesetzgeber eine Institutionalisierung der Datenschutzkonferenz. Eine bereits beabsichtigte Vereinheitlichung der Anwendung des Datenschutzrechts dürfte allein hierdurch aber nicht erreicht werden. Im Zuge selbiger Änderung wurde zudem die Abschaffung der Benennungspflicht eines Datenschutzbeauftragten nach § 38 BDSG diskutiert. Das Argument: Entbürokratisierung. Die Abschaffung der Benennungspflicht nach nationalen Normen scheiterte jedoch.

Heraufsetzung des Schwellwertes

Grundsätzlich ist eine Heraufsetzung des Schwellwertes einer gänzlichen Abschaffung der Benennungspflicht vorzuziehen. Aber auch diese Herangehensweise ist nicht neu: Bereits im November 2019 wurde der damalige Schwellwert des § 38 BDSG von zehn auf 20 Beschäftigte erhöht. Danach wurden immer wieder Stimmen laut, die eine weitere Anhebung des Schwellwertes forderten. Eine mehrheitliche Unterstützung des Vorhabens im Bundestag und Bundesrat scheint indes gewiss. Ist eine solche Gesetzesänderung jedoch auch sinnvoll?

Sicherlich ist Deutschland eines der wenigen Länder – oder sogar das einzige Land – welches in Bezug auf die Benennung des Datenschutzbeauftragten zusätzliche Regelungen getroffen hat. Die EU-weit einheitliche Norm des Art. 37 DS-GVO fordert die Benennung eines Datenschutzbeauftragten ausschließlich im Falle von öffentlichen Stellen, umfangreichen und systematischen Überwachungen betroffener Personen oder einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO beziehungsweise von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO. Diese Regelung scheint in den anderen Mitgliedsstaaten ausreichend. Wieso also nicht auch in Deutschland?

Weniger Datenschutzbeauftragte ≠ weniger Bürokratie

In diesem Zusammenhang wird regelmäßig verkannt, dass die (verpflichtende) Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.

Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.

Wenn Änderung, dann bitte konsequent!

Sollte es zu einer Änderung des Schwellwertes gemäß § 38 Abs. 1 Satz 1 BDSG kommen, ist nur zu hoffen, dass der Gesetzgeber diese Gelegenheit nutzt und die Regelung des § 38 Abs. 1 Satz 2 ebenfalls korrigiert: Nach dieser Norm ist die Benennung eines Datenschutzbeauftragten unter anderem ebenfalls verpflichtend, sofern der Verantwortliche oder der Auftragsverarbeiter zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verpflichtet ist – und zwar unabhängig von einer Beschäftigtenzahl. In Zeiten von Hinweisgeberschutz und Künstlicher Intelligenz wären demnach weiterhin viele Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das neue Hinweisgeberschutzgesetz (HinSchG) ist im Juli 2023 in Kraft getreten. Es sieht vor, dass Unternehmen mit mindestens 50 Beschäftigten ein internes Hinweisgebersystem einzurichten haben. Ziel des Gesetzes, welches zur Umsetzung einer entsprechenden europäischen Richtlinie verabschiedet wurde, ist einerseits eine bessere Durchsetzung rechtlicher Bestimmungen und andererseits zugleich der besondere Schutz meldender, gemeldeter sowie von einer Meldung betroffener Personen. Doch für einige Unternehmen hält das Hinweisgeberschutzgesetz auch eine datenschutzrechtliche Überraschung parat.

Datenschutzrechtliche Anforderungen bei Hinweisgebersystemen

Es dürfte nicht überraschen, dass mit der Einführung eines Hinweisgebersystems und der damit verbundenen Verarbeitung personenbezogener Daten auch die gängigen datenschutzrechtlichen Pflichten gelten. So muss der Verantwortliche die von der Verarbeitung personenbezogener Daten betroffenen Personen hinsichtlich der Datenverarbeitungen i.S.d. Artikel 13 und 14 DS-GVO transparent informieren. Weiterhin obliegt ihm die Pflicht, die Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO korrekt und vollständig abzubilden.

Wird für die Einrichtung einer internen Meldestelle auf einen externen Dienstleister zurückgegriffen oder wird ein cloudbasiertes System zur Bearbeitung und Verwaltung etwaiger Hinweise genutzt, wird in der Regel der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich sein. Ist eine Person des Verantwortlichen mit der Funktion als interne Meldestelle betraut, ist es sinnvoll diese Person entsprechend des § 8 HinSchG speziell für die Wahrnehmung dieser Tätigkeit zur Vertraulichkeit zur verpflichten. So weit, so gut.

Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung

Gemäß Art. 35 Abs. 1 DS-GVO hat eine Datenschutz-Folgenabschätzung vor Beginn einer jeden Verarbeitung zu erfolgen, die voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen aufweist. Liegt im Rahmen der Einführung und des Betriebs eines Hinweisgebersystems ein solches hohes Risiko vor? Folgt man den Kriterien der Veröffentlichung der Artikel-29-Gruppe (Vorgänger des Europäischen Datenschutzausschusses) mit dem prägnanten Namen Leitlinie zur Datenschutz-Folgenabschätzung (DFSA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ aus dem Jahr 2017, wird man diese Frage bejahen müssen.

Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder sehen die Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung. So heißt es in der Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz aus dem Jahr 2018 ganz kurz: „Ein Verfahren zur Meldung von Missständen unterliegt wegen des besonders hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung.“ Und auch unter Würdigung der einzelnen Normen des Hinweisgeberschutzgesetzes wird man zu dem Ergebnis kommen, dass bereits der Gesetzgeber im Rahmen des Gesetzgebungsverfahrens ein erhöhtes Risiko erkannt hat (vgl. §§ 8, 37 – 39 HinSchG).

Die Datenschutz-Folgenabschätzung ist vom Verantwortlichen selbst durchzuführen. Dabei ist der Rat des Datenschutzbeauftragten (Art. 35 Abs. 2 DS-GVO) einzuholen, sofern ein solcher benannt ist. Doch das Bundesdatenschutzgesetz (BDSG) setzt da noch einen drauf…

Pflicht zur Benennung eines Datenschutzbeauftragten

Eine besondere Anforderung hält § 38 Abs. 1 Satz 2 BDSG vor: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen […] haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ Das bedeutet im Umkehrschluss, dass jedes Unternehmen mit mindestens 50 Beschäftigten verpflichtend einen Datenschutzbeauftragten zu benennen hat.

Die Regelung des § 38 Abs. 1 Satz 1 BDSG setzt zwar bereits voraus, dass Verantwortliche oder Auftragsverarbeiter, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, verpflichtend einen Datenschutzbeauftragten zu benennen haben. Jedoch kann sich bei Unternehmen mit einer kleinen Verwaltung (z.B. Handwerksbetriebe, Fuhrunternehmen) mit der Pflicht zur Einführung eines Hinweisgebersystems ein neues Kriterium der Benennungspflicht ergeben.

Es wäre auch ein anderer Weg möglich gewesen…

Muss es immer so kompliziert sein? Mit einem Blick in die DS-GVO lautet die Antwort: Eigentlich nicht. Art. 35 Abs. 10 DS-GVO zeigt auf: Sofern ein Verantwortlicher rechtlich zu einer Datenverarbeitung verpflichtet ist, die Verarbeitungsvorgänge durch das jeweilige Recht vorgegeben sind sowie im Rahmen des Gesetzgebungsverfahrens durch den Gesetzgeber bereits eine allgemeine Datenschutz-Folgenabschätzung durchgeführt wurde, können Verantwortliche von der Rechtspflicht zur Durchführung einer eigenen Datenschutz-Folgenabschätzung entbunden werden. Dementsprechend entfiele somit auch das weitere Kriterium zur verpflichtenden Benennung eines Datenschutzbeauftragten.

Kann so etwas funktionieren? Und ob! Ein Blick in das Nachbarland Österreich zeigt, dass bereits im Rahmen eines Gesetzgebungsverfahrens eine Datenschutz-Folgenabschätzung mitgedacht werden kann.

Interne Meldestelle gleich Datenschutzbeauftragter?

Aus der Not eine Tugend machen und der internen Meldestelle die Aufgaben eines Datenschutzbeauftragten überhelfen? Das ist wohl keine gute Idee – auch wenn dies durch Dienstleister angeboten wird! Gemäß Art. 38 Abs. 6 Satz 2 DS-GVO haben Verantwortliche sicherzustellen, dass (weitere) Aufgaben und Pflichten des Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen. Ein solcher ist jedoch stets anzunehmen, wenn ein- und dieselbe Person zum Teil umfangreiche Datenverarbeitungen durchführt und zugleich die datenschutzrechtliche Kontrolle dieser Datenverarbeitung übernehmen muss.

Fazit

Im Rahmen der Einführung eines Hinweisgebersystems sind einige datenschutzrechtliche Anforderungen zu beachten. Den größten Aufwand wird hierbei wohl die Datenschutz-Folgenabschätzung verursachen, die aufgrund des hohen Risikos der Datenverarbeitung durchzuführen ist. Soweit bislang kein Datenschutzbeauftragter benannt wurde, gilt die Pflicht zur Benennung nun auf jeden Fall. Unternehmen mit weniger als 250 Beschäftigten, jedoch mehr als 50 Beschäftigten haben nun noch bis Dezember 2023 Zeit, alle aus dem Hinweisgeberschutzgesetz resultierenden Pflichten umzusetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Nutzung von künstlicher Intelligenz (KI) im privaten und dienstlichen Kontext hat in den letzten Monaten stark zugenommen. Das mag insbesondere an der medialen Aufmerksamkeit im Zusammenhang mit dem Chatbot ChatGPT liegen, jedoch gibt es auch darüber hinaus eine Reihe nützlicher Anwendungen, die sich KI zunutze machen. Auch nationale und lokale Unternehmen haben die Chancen erkannt, so beispielsweise die DeepL SE (Köln) mit ihrer Anwendung DeepL Write oder die SpeechMind GmbH (Dresden) mit ihrer KI-Anwendung zur Meetingdokumentation. Doch manchmal scheinen sich die Nutzung von KI und die Einhaltung datenschutzrechtlicher Anforderungen zu widersprechen, wie beispielsweise das temporäre Verbot von ChatGPT in Italien gezeigt hat. Dies wirft für Verantwortliche die grundsätzliche Frage auf: Ist KI überhaupt datenschutzkonform einsetzbar?

Zulässigkeit & Rechtsgrundlagen

Sobald durch die Nutzung von KI-Anwendungen personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO außerhalb der persönlichen oder familiären Sphäre verarbeitet werden, sind die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) umzusetzen. Bereits hieraus ergibt sich die grundsätzliche Empfehlung – wo sinnvoll umsetzbar – im Zusammenhang mit KI ausschließlich vollständig anonymisierte Daten zu nutzen. Lässt sich ein Personenbezug nicht vermeiden, bedarf es einer belastbaren Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO. So können Datenverarbeitungen insbesondere auf eine transparente und freiwillige Einwilligung, auf eine vertragliche Beziehung – soweit die Nutzung von KI zur Erbringung der vertraglichen Leistungen zwingend erforderlich ist – und auf das berechtigte Interesse des Verantwortlichen gestützt werden, sofern dieser nachweisen kann, dass die berechtigten Interessen die Grundrechte und -freiheiten des Einzelnen überwiegen.

Besondere Anforderungen können sich zusätzlich im Gesundheitsbereich mit besonders schützenswerten personenbezogenen Daten (Art. 9 DS-GVO) oder im Beschäftigtendatenschutz (§ 26 BDSG [Bundesdatenschutzgesetz]) ergeben. Im Ober-Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer ist oftmals die Freiwilligkeit einer Einwilligung anzuzweifeln. Im Zusammenhang mit der Aufnahme und Verarbeitung des gesprochenen Wortes ist zudem die Norm des § 201 StGB (Strafgesetzbuch) zwingend zu beachten!

Auftragsverarbeitung & Gemeinsame Verantwortlichkeit

In der Regel werden bei der Nutzung von KI-Anwendungen personenbezogene Daten (z.B. IP-Adressen) im Auftrag des Verantwortlichen durch den Anbieter der jeweiligen Anwendung verarbeitet. In diesem Fall ist zwischen Auftraggeber (Verantwortlicher) und Auftragnehmer (Anbieter) ein Vertrag zur Auftragsverarbeitung entsprechend des Art. 28 DS-GVO abzuschließen. Dabei hat der Verantwortliche gemäß Art. 28 Abs. 1 DS-GVO sicherzustellen, dass „dieser nur mit Auftragsverarbeitern [zusammenarbeitet], die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Der Vertrag zur Auftragsverarbeitung muss zwingend die Inhalte aus Art. 28 Abs. 3 DS-GVO abbilden.

Eine Besonderheit gilt darüber hinaus, wenn der Anbieter einer KI-Anwendung die personenbezogenen Daten des Verantwortlichen nicht ausschließlich weisungsgebunden, sondern ebenfalls zu eigenen Zwecken, beispielsweise zur Verbesserung der KI-Anwendung nutzt. In einem solchen Fall liegt in der Regel eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO vor. Auch diesbezüglich ist ein spezieller datenschutzrechtlicher Vertrag zu schließen, wobei die wesentlichen Inhalte für die von der Verarbeitung betroffenen Person zur Verfügung gestellt werden müssen (Art. 26 Abs. 2 Satz 2 DS-GVO).

Grundsätze der Datenverarbeitung

Weiterhin sind im Rahmen der Nutzung der KI-Anwendung die Grundsätze der Verarbeitung gemäß Art. 5 Abs. 1 DS-GVO einzuhalten. Hierzu zählen beispielsweise der Grundsatz der Datenminimierung oder der Grundsatz der Speicherbegrenzung. Diese Grundsätze hat der Anbieter der KI-Anwendung im besten Fall bereits unter Berücksichtigung des Art. 25 DS-GVO – „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ – im Rahmen der Entwicklung hinreichend berücksichtigt, sodass durch den Verantwortlichen entsprechende datenschutzfreundliche Konfigurationen vorgenommen werden können. Datenverarbeitungen sind so zu gestalten, dass sie zum Erreichen des jeweiligen Verarbeitungszwecks stets zwingend erforderlich sind.

Besonderer Bedeutung kommt der Transparenz der Datenverarbeitung zu. Michael Will (Bayerisches Landesamt für Datenschutz) formuliert es treffend: „[…] KI darf keine Blackbox sein, wo hinter einer Wand dann alles Mögliche geschehen kann […].“ Anbieter von KI-Anwendungen müssen transparent beschreiben, inwieweit personenbezogene Daten verarbeitet, zur Verbesserung der Anwendung genutzt und gegebenenfalls an Dritte übermittelt werden. Nur wenn der Anbieter entsprechende Informationen transparent zur Verfügung stellt, kann auch der Verantwortliche seinen Verpflichtungen aus Art. 13 DS-GVO zur Bereitstellung einer Datenschutzinformation („Datenschutzerklärung“) umfänglich nachkommen.

Betroffenenrechte

Jeder von einer Datenverarbeitung betroffenen Person stehen die Betroffenenrechte nach Kapitel III der DS-GVO zu. Hierunter zählen beispielsweise das Recht auf Auskunft (Art. 15 DS-GVO) sowie das Recht auf Löschung (Art. 17 DS-GVO). Bei der Auswahl einer KI-Anwendung sollte – wie bei der Anschaffung regulärer Software auch – darauf geachtet werden, dass die Gewährleistung der Betroffenenrechte zu jeder Zeit problemlos möglich ist. Schwierigkeiten können sich ergeben, sofern der Anbieter der KI-Anwendung die personenbezogenen Daten zu eigenen Zwecken nutzt und sich die betroffene Person zur Ausübung ihrer Rechte an mehrere Stellen zu wenden hätte.

Internationale Datenübermittlungen

Besondere datenschutzrechtliche Anforderungen gelten im Fall der Übermittlung personenbezogener Daten in Länder und an Organisationen außerhalb der Europäischen Union (EU) beziehungsweise außerhalb des Europäischen Wirtschaftsraums (EWR), also beispielsweise in die USA oder Australien. So dürfen Übermittlungen nur dann vorgenommen werden, wenn die Anforderungen der Art. 44 ff. DS-GVO eingehalten werden, also beispielsweise ein Angemessenheitsbeschluss für das jeweilige Empfängerland vorliegt oder Standardvertragsklauseln abgeschlossen und eine Transferfolgenabschätzung durchgeführt wurde. Auch wenn seit dem 10. Juli 2023 Datenübermittlungen in die USA auf das EU-U.S. Data Privacy Framework gestützt werden können, ist bereits jetzt abzusehen, dass dieses voraussichtlich nur für einen begrenzten Zeitraum eine belastbare Übermittlungsgrundlage darstellen wird. Insofern gilt auch zukünftig, dass derartige Datenübermittlung auf ein Minimum reduziert oder durch technische Maßnahmen (z.B. durch eine hinreichende Ende-zu-Ende-Verschlüsselung) geschützt werden. Es sollte zudem geprüft werden, inwiefern der Einsatz der jeweiligen KI-Anwendung im Einklang mit der eigenen Cloud-Strategie steht.

Datenschutz-Folgenabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, hat der Verantwortliche gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Insbesondere im Gesundheitsbereich und bei der Verarbeitung von Beschäftigtendaten wird bei der Nutzung von KI-Anwendungen von einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen auszugehen sein. Die Regelung des Art. 35 Abs. 7 DS-GVO gibt dabei die zu berücksichtigenden Inhalte wieder. Auch hier können den Anbieter einer KI-Anwendung Unterstützungspflichten treffen, sodass der Verantwortliche in die Lage versetzt wird, eine rechtskonforme Datenschutz-Folgenabschätzung durchführen zu können. Einige Anbieter haben diese Anforderung erkannt und unterstützen ihre Kunden bereits mit ausführlichen technischen und rechtlichen Dokumentationen zur Überwindung dieser Hürde.

Weitere regulatorische Ansätze

Ergänzend ist darauf hinzuweisen, dass (in Zukunft) auch andere rechtliche Anforderungen im Zusammenhang mit KI gelten können. So soll in der Europäischen Union 2025 der AI Act in Kraft treten. Das Europäische Parlament hat in diesem Zusammenhang zuletzt im Juni dieses Jahres aktuelle Informationen veröffentlicht. Insofern werden zukünftig auch die Anbieter von KI-Anwendungen stärker in die Pflicht genommen. Das Verbot von KI ist hingegen ausdrücklich kein Ziel der Europäischen Union.

Fazit

Bei der Betrachtung der obigen Ausführungen wird deutlich: Datenschutz verbietet nicht grundsätzlich die Nutzung künstlicher Intelligenz. Es werden jedoch einige Spielregeln aufgestellt, an die es sich zu halten gilt. Mit potenziellen Datenübermittlungen an Empfänger außerhalb der EU sowie des EWR und der Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung müssen Verantwortliche das große Einmaleins des Datenschutzes beherrschen. Ein weiterer wesentlicher Faktor ist zudem die Transparenz der Datenverarbeitungen. Die Umsetzung der verschiedenen Anforderungen stellt zweifellos eine Herausforderung für Verantwortliche, aber auch für Anbieter von KI-Anwendungen dar. Welche Themen zudem bei der Verarbeitung von Sprachdaten zu berücksichtigen sind, erfahren Sie im Blog der SpeechMind GmbH…

Über den Autor: Max JusMax Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Rechtsverstöße, Mobbing und sonstige Missstände in Unternehmen werden häufig nur von den Beschäftigten wahrgenommen, nicht jedoch von der Geschäftsführung. Dies kann verschiedenste Gründe haben: Oftmals hat die Geschäftsleitung einen gewissen Abstand zum Personal und somit keinen detaillierten Einblick in die Geschehnisse der einzelnen Abteilungen. Aus Angst, benachteiligt oder sogar gekündigt zu werden, weisen Beschäftigte die Geschäftsleitung lieber nicht auf derartige Gegebenheiten hin. Obwohl die Geschäftsführung in der Regel großes Interesse haben dürfte, Missstände aller Art aufzudecken und zu beheben. Hierdurch kommt es in Unternehmen zur Häufung verschiedener Umstände, die zu Unzufriedenheit in der Belegschaft und gegebenenfalls sogar zur Verletzung verschiedener Gesetze führt.

Mit dem Hinweisgeberschutzgesetz soll nun die überfällige Umsetzung der europäischen Whistleblowing-Richtlinie (EU) 2018/1937 erfolgen. Ziel dieses Gesetzes ist die nachhaltige Verbesserung des bislang lückenhaften Schutzes von Hinweisgebern, um jegliche Benachteiligung auszuschließen. Weiterhin sollen Hinweisgeber durch das Gesetz Rechtssicherheit erlangen. Nach der Whistleblower-Richtlinie sind Unternehmen ab einer Größe von 50 Beschäftigten verpflichtet, ein Whistleblowing-System einzurichten. Bei der Einrichtung müssen jedoch verschiedene Aspekte berücksichtigt werden, unter anderem selbstverständlich der Datenschutz.

Datenschutzrecht im Kontrast zur Whistleblower-Richtlinie

Es liegt auf der Hand, dass im Wege eines Whistleblowing-Systems nicht ausschließlich Probleme gemeldet werden, die beispielweise organisatorischer Natur sind. Es werden zwangsläufig auch, unter namentlicher Erwähnung, Entscheidungen oder Verhaltensweisen bestimmter Personen gemeldet. Zudem dürfte es äußerst schwierig sein, die Anonymität der meldenden Person gegenüber das jeweilige Meldesystem zu gewährleisten: Wird die Meldung nämlich per Anruf getätigt, könnte die Telefonnummer zurückverfolgt werden. Bei einer Meldung über ein spezielles IT-System kann es zur Preisgabe der IP-Adresse kommen. Aus diesem Grund dürfte der Anwendungsbereich der DS-GVO regelmäßig eröffnet sein. Es kommt also zwangsläufig zur Erhebung und Verarbeitung personenbezogener Daten.

Hinzu kommt, dass durch die Inanspruchnahme des Meldesystems gegebenenfalls personenbezogene Daten ohne Kenntnis der betroffenen Personen erhoben und verarbeitet werden, weshalb die betroffene Person gemäß Art. 14 DS-GVO eigentlich über die Datenverarbeitung informiert werden müsste. Dies läuft jedoch dem Sinn des Whistleblowings zuwider, da die Geschäftsleitung großes Interesse daran haben dürfte, Meldungen zunächst über interne Ermittlungsverfahren näher zu untersuchen. Wenn beschuldigte Personen eine sie betreffende Meldung mitbekommen, könnte die interne Ermittlung verfälscht werden. Problematisch könnten in der Praxis auch die Betroffenenrechte nach Art. 15 DS-GVO sein. Demnach müssten dem Beschuldigten gegebenenfalls sämtliche verfügbaren Informationen über die Herkunft der Daten gegeben werden. Eine IP-Adresse oder die Kombination aus mehreren an sich nicht personenbezogenen Daten eröffnen die Möglichkeit, den Personenkreis des Meldenden stark einzugrenzen.

Datenschutzkonforme Umsetzung in der Praxis

Da das Hinweisgeberschutzgesetz voraussichtlich schrittweise Anfang des neuen Jahres in Kraft treten wird, sollte man sich schon jetzt Gedanken machen, wie ein solches System im Unternehmen eingebaut werden kann, ohne mit dem Datenschutz in Konflikt zu geraten. Wir haben Ihnen die wichtigsten Faktoren zusammengestellt, die Sie bei der Umsetzung des Meldesystems beachten sollten:

• Nach § 8 des Entwurfs zum Hinweisgeberschutzgesetz haben Meldestellen die Vertraulichkeit der hinweisgebendenen Person, Personen die Gegenstand der Meldung sind und sonstige genannte Personen zu wahren. Achten Sie bei der Umsetzung Ihres Whistleblowing-Systems auf den Schutz der Identitäten. Sowohl Beschäftigte als auch die Geschäftsführung dürfen unter keinen Umständen die Möglichkeit haben, die meldende Person zu identifizieren.
• Falls Sie einen Dienstleister einsetzen möchten, muss – je nach beauftragter Dienstleistung – ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
• Whistleblowing-Systeme bergen immer ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Aus diesem Grund ist vor Einführung des jeweiligen Systems gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Ihr Datenschutzbeauftragter kann Sie hierbei unterstützen.
• In Vergangenheit sind zahlreiche IT-Anbieter auf diesen Markt aufgesprungen, die keine Erfahrung mit solchen Systemen haben. Leider kam es dabei zu Zwischenfällen, in denen beispielsweise die Identität des Hinweisgebers offengelegt wurde. Wählen Sie den Dienstleister daher mit größter Sorgfalt aus. 

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.